警惕Google更新，可能是勒索軟件偽裝

一種新的勒索軟件正以谷歌更新的形式出現在網絡上，有證據證明，其在利用Windows系統的功能進行勒索攻擊。

趨勢科技（Trend Micro）的研究人員稱他們發現了最新的威脅，被稱為 “HavanaCrypt”，這是一個贖金軟件包，該惡意軟件使用開源的.NET混淆器Obfuscar編寫，并將自身偽裝成谷歌軟件更新，誘使用戶點擊。

當HavanaCrypt開始執行進程時，該勒索軟件會通過使用系統中的ShowWindow函數隱藏其窗口，給它一個0的參數。該勒索軟件還有多種反虛擬化技術，幫助它在虛擬機中執行時避免動態分析，一旦發現系統在虛擬機環境中運行，該軟件將會自動終止進程。

趨勢科技的研究人員在分析中寫道：“該勒索軟件的作者極有可能計劃通過Tor瀏覽器進行通信，因為Tor的是它避免加密文件的目錄之一。同時HavanaCrypt還加密了文本文件foo.txt，并且不會丟棄贖金條。這可能是一個表明HavanaCrypt仍處于開發階段的跡象。”

HavanaCrypt正在為日益增長的勒索軟件攻擊提供支持。據收集和識別威脅的網絡安全供應商智能保護網絡稱，趨勢科技在第一季度檢測并阻止了超過440萬個通過電子郵件、URL和文件層出現的勒索軟件威脅，季度環比增長了37%，這其中包括從2017年就已經存在的分發Magniber勒索軟件的假Windows更新以及使用假微軟Edge和谷歌瀏覽器更新來推送Magnitude漏洞的攻擊。

趨勢科技在針對HavanaCrypt的分析中指出，勒索軟件的普遍性植根于它的進化性，它采用不斷變化的戰術和計劃來欺騙不知情的受害者，并成功地滲透到環境中，今年有報告稱，勒索軟件會偽裝成虛假的Windows 10、谷歌瀏覽器和微軟Exchange更新分發，以欺騙潛在的受害者下載惡意文件。

過去幾年勒索軟件即服務（RaaS）模式的興起，代碼開發人員將勒索軟件租賃給其他網絡犯罪分子，用于他們的攻擊活動以削減已支付的贖金，同時攻擊者會采用雙重勒索，不僅加密文件，還竊取文件，并以此為威脅稱如果不支付贖金，將公開泄露數據并損害受害者的聲譽。

Malwarebytes Lab分析師在今年早些時候的一篇關于大規模攻擊概述的博客文章中寫道：“及時更新應用軟件可以說是您保持網絡安全所能做的最有用的事情，像我們這樣的供應商、專家和分析師永遠不會讓用戶忘記這件事。”誠然及時更新是一個非常好的習慣，但近來的網絡犯罪分子喜歡利用這一點，使用虛假的軟件更新來欺騙用戶。